1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Типовое положение устанавливает общие требования к органу по аттестации объектов информатизации по требованиям безопасности информации (далее - орган по аттестации), его функции, права, обязанности и ответственность.
1.2. Типовое положение разработано в соответствии с законами Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Системой сертификации ГОСТ Р", на основании "Положения о сертификации средств защиты информации по требованиям безопасности информации", "Положения по аттестации объектов информатизации по требованиям безопасности информации" и предназначено для использования при разработке Положений о конкретных органах по аттестации.
1.3. Орган по аттестации является составной частью организационной структуры единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.
1.4. Орган по аттестации может формироваться из состава специальных центров Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссия России), отраслевых и региональных учреждений, предприятий и организаций по защите информации.
1.5. Орган по аттестации аккредитуется федеральным органом по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации), которым является Гостехкомиссия России.
Правила аккредитации определяются действующим в системе сертификации и аттестации "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".
1.6. Орган по аттестации в своей деятельности руководствуется законодательством Российской Федерации, государственными стандартами России, нормативной и методической документацией Гостехкомиссии России.
1.7. Положение о конкретном органе по аттестации разрабатывается на основании настоящего Типового положения с учетом юридического статуса и заявленной области аккредитации.
В Положении указываются виды объектов информатизации, по которым орган по аттестации претендует на аккредитацию Гостехкомиссией России.
Положение подписывается руководителем органа по аттестации, согласовывается с руководителем органа, осуществляющего аккредитацию, и утверждается руководителем Гостехкомиссии России.
1.8. Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации по требованиям безопасности информации, как при обязательном так и добровольной аттестации, оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации.
1.9. Деятельность органа по аттестации, аккредитованного Гостехкомиссией России осуществляется на основе лицензии на определенные виды деятельности (см. "Положение о лицензировании...") и Аттестата аккредитации (см. "Положение об аккредитации..."), выданных ему на право проведения аттестации объектов информатизации.
2. ЗАДАЧИ И ФУНКЦИИ ОРГАНА ПО АТТЕСТАЦИИ
2.1. Основными задачами органа по аттестации являются организация и проведение аттестации объектов информатизации по требованиям безопасности информации, а также контроль за состоянием и эксплуатацией аттестованных этим органом объектов информатизации.
2.2. Орган по аттестации осуществляет следующие функции:
формирует и поддерживает в актуальном состоянии фонд нормативной и методической документации, используемой при аттестации конкретных типов объектов информатизации;
рассматривает заявки на аттестацию объектов информатизации, планирует работы по аттестации объектов информатизации и доводит сроки проведения аттестации до заявителей;
проводит анализ исходных данных по аттестуемым объектам и определяет схему аттестации, решает вопросы о необходимости проведения испытаний несертифицированной продукции, используемой на аттестуемом объекте, в испытательных центрах (лабораториях);
организует работы по аттестации объектов информатизации как на основе заключенных договоров, так и иных взаимоотношений, определяемых на предприятии и закрепляемых в Положении о конкретном органе;
разрабатывает программу, а при необходимости и методики аттестационных испытаний;
формирует и командирует (при проведении работ по аттестации по заказам сторонних заявителей) аттестационные комиссии из компетентных специалистов в необходимых для конкретного объекта информатизации направлениях защиты информации, привлекает к работе в этих комиссиях специалистов испытательных центров (лабораторий) по сертификации в случае испытаний средств защиты информации непосредственно на аттестуемом объекте информатизации;
рассматривает результаты аттестационных испытаний объекта информатизации, утверждает заключение по результатам аттестации и выдает заявителю "Аттестат соответствия";
при осуществлении контроля за состоянием и эксплуатацией аттестованных объектов информатизации проверяет соответствие реальных условий эксплуатации объекта и технологии обработки защищаемой информации условиям и технологии, при которых выдан "Аттестат соответствия";
отменяет и приостанавливает действие выданных этим органом "Аттестатов соответствия";
ведет информационную базу аттестованных этим органом объектов информатизации;
осуществляет взаимодействие с Гостехкомиссией России и информирует ее о своей деятельности в области аттестации.
3. ДЕЯТЕЛЬНОСТЬ АТТЕСТАЦИОННЫХ КОМИССИЙ
3.1. Аттестационные комиссии формируются органом по аттестации объектов информатизации из числа как штатных сотрудников органа по аттестации, так и специалистов в различных направлениях защиты информации других предприятий и организаций таким образом, чтобы обеспечить комплексную проверку конкретного защищаемого объекта информатизации с целью оценки его соответствия требуемому уровню безопасности информации.
3.2. При необходимости, в случае проведения испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации, в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции.
3.3. В состав аттестационных комиссий включаются компетентные в соответствующем направлении защиты информации специалисты, имеющие опыт научно-практической деятельности и контрольно-проверочной работы, не участвующие непосредственно в деятельности заявителей.
3.4. Постоянный штат сотрудников (персонал) органа по аттестации осуществляет свою деятельность в соответствии с должностными инструкциями и должен обладать необходимой квалификацией и компетентностью.
4. ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ
ОРГАНА ПО АТТЕСТАЦИИ
4.1. Орган по аттестации имеет право:
привлекать для работы в аттестационных комиссиях наиболее компетентных специалистов в порядке, определяемом Положением о конкретном органе;
устанавливать сроки, договорные цены на проведение аттестации, а также устанавливать иные условия взаимодействия или взаиморасчетов, определяемые Положением о конкретном органе;
отказывать заявителю в аттестации объекта информатизации, указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации;
участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатизации;
лишать и приостанавливать действие "Аттестата соответствия" в случае нарушения его владельцем условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
4.2. Орган по аттестации обязан:
соблюдать в полном объеме все правила и порядок сертификации, установленные основополагающими документами системы сертификации и аттестации по требованиям безопасности информации, организационно-методическими документами данной системы и другими документами, предъявляемыми при аккредитации;
признавать сертификаты на те средства защиты информации, для которых доказано их соответствие конкретным нормативным документам по правилам данной системы;
при введении в нормативные документы на средства защиты информации новой нормы на ранее сертифицированное средство информировать изготовителя средств защиты информации в течение месяца о сроках и порядке ее введения, а также оказывать ему содействие в своевременном проведении работы по сертификации в соответствии с новыми нормами;
информировать Гостехкомиссию России о всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии;
вести учет всех предъявляемых рекламаций к сертифицированным средствам защиты информации и информировать об этом Гостехкомиссию России;
в установленные договором с заявителем сроки организовывать и проводить аттестацию объекта информатизации;
обеспечивать полноту и объективность проведения аттестации объекта информатизации;
обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации объекта информатизации, соблюдение авторского права;
вести информационную базу аттестованных этим органом объектов информатизации;
представлять ежеквартально в федеральные органы по сертификации и аттестации информацию о результатах аттестации, а также копии "Аттестатов соответствия" для их регистрации;
допускать в установленном порядке представителей контрольных органов для осуществления надзора за аттестацией объектов информатизации.
4.3. Орган по аттестации несет ответственность за:
соответствие проведенных им аттестационных испытаний объекта информатизации требованиям стандартов и иных нормативных и методических документов по безопасности информации, а также достоверность и объективность их результатов;
полноту и качество выполнения функций и обязанностей, возложенных на него;
формирование и квалификацию аттестационных комиссий; соблюдение требований нормативных и методических документов, предъявляемых к порядку проведения аттестации;
соблюдение установленных сроков и условий проведения аттестации, зафиксированных в договоре с заявителем;
обеспечение сохранности государственной и коммерческой тайны заявителя;
соблюдение действующего законодательства.
Поделиться
